Perspectives d'avenir : menaces de cybersécurité pour les sciences de la vie

par Danilo Maruccia, Executive Consultant and Stephen Tyrpak Associate Vice President of MD Operations; US & Canada @ PQE Group

Attaques mondiales par malware, ransomware et phishing en 2022 et préoccupations des DSI en 2023

Au cours du premier semestre 2022, on comptait 2,8 milliards d'attaques de logiciels malveillants dans le monde1 et 236,1 millions d'attaques de ransomware2. À la fin de l'année 2022, on s'attendait à ce que six milliards d'attaques de phishing3 aient été lancées4. À l'aube de 2023, la cybersécurité continue de figurer en tête de liste des préoccupations des DSI5. Cela n'a rien d'étonnant.

Les cybercriminels se livrent à des cyberattaques contre les organismes de santé depuis des années, et, les ransomwares restent d'actualité malgré les efforts déployés pour les combattre. Les violations de données restent un problème courant et les entreprises restent vulnérables. Les menaces évoluent et deviennent plus sophistiquées et efficaces, avec des vecteurs d'attaque de plus en plus utilisés. Les fournisseurs de services gérés, les chaînes d'approvisionnement et les logiciels libres sont parmi ceux qui sont compromis. Et tandis que les gouvernements se montrent de plus en plus agressifs dans leur lutte, les organismes de santé ont plus que jamais un rôle important à jouer pour se défendre6.

Cybersecurity Threats for Life Sciences_blog sito

Attaques par ransomware : une menace permanente dans le paysage cybernétique et la nécessité de s'adapter

Les menaces devenant de plus en plus importantes et les attaquants modifiant continuellement leurs stratégies et leurs méthodes, les organisations doivent s'adapter sans relâche aux efforts toujours plus importants des pirates et à leurs opérations intrusives7. Les attaques par ransomware font désormais partie intégrante du paysage des cybermenaces, et leur nombre et sophistication ne font qu’augmenter. Bien que les fournisseurs de ransomware en tant que service (Ransomware as a service = RaaS) améliorent continuellement leurs logiciels, le RaaS a également permis à divers acteurs de la menace - y compris ceux qui ont peu de connaissances techniques - de déployer plus facilement des ransomwares contre des cibles. Ce nouveau paradigme est constitué d'un noyau de développeurs qui mettent en place et entretiennent les ransomwares et les sites de paiement, ainsi que des affiliés qu'ils recrutent pour pénétrer dans les réseaux des victimes et crypter les appareils. En raison de l'importance et de la prévalence des ransomwares et de leur impact, l'Agence américaine pour la Cybersécurité et les Infrastructures a publié ses recommandations sur les ransomwares8.

Les attaques contre les fournisseurs de sciences de la vie et de soins de santé, y compris les entreprises de technologie de la santé, les entreprises pharmaceutiques, biotechnologiques et de dispositifs médicaux, ont considérablement augmenté ces dernières années, y compris l'Organisation Mondiale de la Santé, qui a signalé une multiplication par cinq des attaques en 20209. L'augmentation des pertes de données et des attaques par ransomware contre ces organisations expose de manière critique les entreprises et les organisations et met hors service les équipements et dispositifs médicaux. Ces risques peuvent entraîner des conséquences catastrophiques, notamment pour :

  • la sécurité des patients/les décès
  • le vol de propriété intellectuelle
  • la poursuite en responsabilité juridique
  • les pénalités et amendes réglementaires
  • la réputation

Plusieurs mesures doivent être prises, de manière continue, pour atténuer les risques liés à la cybersécurité et à la vie privée10. Ces mesures comprennent :

  • Réaliser des évaluations des risques en matière de protection de la vie privée ou de sécurité afin de déterminer s'il existe des risques et des vulnérabilités potentiels et travailler avec des conseillers externes pour atténuer les risques et les vulnérabilités identifiés.
  • Évaluer les politiques existantes en matière de protection de la vie privée et de sécurité ainsi que la couverture d'assurance en matière de cybersécurité afin de prévoir le coût d'un incident et de combler les écarts de couverture.
  • Évaluer les pratiques de collecte et de conservation des données personnelles à l'échelle de l'entreprise afin de garantir la conformité avec les lois nationales, fédérales et internationales sur la collecte des données.
  • Former tous les membres du personnel, et pas seulement les informaticiens, aux meilleures pratiques de sensibilisation au phishing et au ransomware (par exemple, comment les attaquants procèdent, ce que les acteurs de la menace recherchent et les conseils pratiques pour repérer et signaler la menace).
  • Inclure des clauses d'indemnisation, de restriction d'utilisation des données et d'autres clauses dans les contrats des fournisseurs pour les protéger contre les préjudices et procéder à des révisions régulières des contrats.

L'avenir de la médecine connectée : potentiel et risques de cybersécurité

Nous pensons que l'avenir des soins de santé est dans la médecine connectée. Le potentiel des produits pharmaceutiques et biotechnologiques intégrés et des dispositifs médicaux est infini. Il comprend des innovations telles que des implants de genou qui se connectent à un téléphone pour suivre le pH et sa dégradation qui peuvent avertir le patient ou le médecin d'une éventuelle infection ou complication. D'autres exemples sont les valves cardiaques qui peuvent fournir un retour de diagnostic à un médecin, ce qui pourrait aider à optimiser le traitement pharmacologique ou encore une puce implantée sous la peau qui pourrait signaler si un patient atteint d'un cancer en rémission présente des signes de diagnostic indiquant la réapparition du cancer.

Bien que cela puisse paraître improbable, il fut un temps où personne ne croyait qu'un stimulateur cardiaque pouvait sauver le cœur défaillant d'une personne. Le point commun de tous ces dispositifs est que, s'ils devaient entrer sur le marché, ils seraient fortement tributaires de logiciels et de communications informatiques appropriés et exigeraient en définitive un nouveau niveau de cybersécurité. Jusqu'à présent, la plupart des préoccupations en matière de cybersécurité étaient axées sur la protection des patients et des informations institutionnelles, ce qui est essentiel et a des répercussions coûteuses. Cependant, comme la technologie continue de progresser, les menaces de cybersécurité peuvent coûter aux entreprises : leurs revenus, leur réputation et la vie des gens.

En Conclusion

Les entreprises du secteur de la santé sont de plus en plus préoccupées par la possibilité de cyberattaques en raison de la forte augmentation des attaques par ransomware au cours des dernières années. La sécurité des patients, le vol de la propriété intellectuelle, les ramifications juridiques, les amendes réglementaires et l'atteinte à la réputation ne sont que quelques-uns des effets catastrophiques de ces attaques. Des mesures proactives doivent être prises pour réduire ces risques, notamment des évaluations des risques en matière de protection de la vie privée et de sécurité, des examens des politiques de protection de la vie privée et de sécurité, la formation du personnel et l'inclusion de clauses d'indemnisation dans les contrats avec les fournisseurs.

Les entreprises pharmaceutiques, biotechnologiques et de dispositifs médicaux doivent concevoir leurs produits avec des mesures de cybersécurité intégrées et robustes, tout en effectuant des évaluations appropriées des risques de cybersécurité en faisant appel à des experts en cybersécurité. Alors que les technologies continuent d'évoluer, il est indispensable que ces professionnels spécialisés identifient les risques exacts associés au produit en matière de cybersécurité. Comme pour toute matrice de risques, vous ne pouvez pas atténuer le risque si vous n'en connaissez pas les conséquences potentielles.

***

Le groupe PQE est une société de conseil en solutions technologiques et en conformité certifiée ISO 9001 pour l'industrie des sciences de la vie, qui fournit des capacités globales tout au long du cycle de vie de la qualité des produits. Fondée en 1998, PQE compte 30 bureaux dans le monde et plus de 1 500 professionnels du secteur. PQE est spécialisée dans des domaines tels que l'assurance de l'intégrité des données, la gouvernance numérique et la cybersécurité, les dispositifs médicaux, la qualification et l'ingénierie, l'excellence des laboratoires, la conformité en qualité, les affaires réglementaires et les audits de tiers. Elle a également fait ses preuves en matière de gestion de grands projets multisites ainsi que dans la gestion de petites, moyennes et jeunes entreprises pharmaceutiques, biotechnologiques et de dispositifs médicaux.

Les experts de PQE Group, très professionnels en la matière, peuvent vous aider à garantir que vos systèmes informatiques sont à l'abri des ransomwares, des pirates et autres cybermenaces. En vous associant à PQE Group, vous pouvez être sûr.e que votre entreprise restera conforme aux exigences de la FDA (et d'autres organismes de réglementation) et que votre produit pourra être développé et fabriqué en toute sécurité.

Références (en version originale anglaise)

  1. Number of malware attacks per year 2022 | Statista 
  2. Number of ransomware attacks per year 2022 | Statista
  3. Phishing attack statistics 2022 (cybertalk.org)  
    (https://www.techrepublic.com/article/top-cybersecurity-threats/)
  4. Cybersecurity Tops the CIO Agenda as Threats Continue to Escalate - WSJ 
  5. Title (hhs.gov)Title (hhs.gov) 
    mandiant cyber security forecast 2023 - Search (bing.com)Title (hhs.gov) 
  6. CISA MS-ISAC Ransomware
  7. Guide2020: The Year the COVID-19
  8. Crisis Brought a Cyber Pandemic (govtech.com) 
  9. 2020: The Year the COVID-19 Crisis Brought a Cyber Pandemic (govtech.com)
  10. Cybersecurity and Privacy Threats and Risks for Life Sciences and Healthcare Companies (orrick.com) 

     



Vous souhaitez en savoir plus ?

Le groupe PQE a développé une approche holistique spécifique pour vérifier et garantir que nos clients disposent du plus haut niveau de cybersécurité, en analysant et en résolvant toutes les vulnérabilités possibles, en prévenant les observations et les violations futures.

Guide sur la cybersécurité des dispositifs médicaux    Connectez-vous à nous